Hackers al estilo MuddyWater escanean más de 12.000 sistemas antes de atacar sectores críticos de Oriente Medio

Se ha descubierto una sofisticada campaña cibernética que tiene fuertes similitudes operativas con el grupo de amenazas MuddyWater barriendo más de 12.000 sistemas expuestos a Internet en múltiples regiones antes de lanzar ataques centrados en objetivos de alto valor en el Medio Oriente. La operación se centró en sectores críticos, incluidos la aviación, la energía y el gobierno, y se confirmó el robo de datos de al menos una organización de aviación egipcia.

Los atacantes comenzaron con un reconocimiento de vulnerabilidades a gran escala y luego pasaron a la recolección selectiva de credenciales antes de llegar finalmente a la exfiltración completa de datos. Para llevar a cabo la fase de escaneo inicial, el actor de amenazas utilizó como arma al menos cinco CVE recientemente revelados dirigidos a una amplia gama de sistemas, desde aplicaciones web y servidores de correo electrónico hasta plataformas de gestión de TI y herramientas de automatización del flujo de trabajo. Las cinco vulnerabilidades explotadas incluyen CVE-2025-54068 (Laravel Livewire RCE), CVE-2025-52691 (SmarterMail RCE), CVE-2025-68613 (n8n RCE), CVE-2025-9316 (generación de ID de sesión no autenticada en sistemas RMM) y CVE-2025-34291 (Langflow). El momento de la campaña, que comenzó apenas unas semanas antes de que aumentaran las tensiones regionales, plantea claras preocupaciones sobre la intención estratégica que impulsó la operación.

Se identificaron objetivos adicionales en entidades de Portugal e India, lo que indica que el alcance de la campaña se extendió mucho más allá de Medio Oriente. Infraestructura modular C2 diseñada para un control resistente Entre los descubrimientos técnicamente más significativos de esta campaña estuvo la arquitectura de comando y control (C2) que los atacantes implementaron para administrar sus sistemas comprometidos.

Consultar publicación original ↗